CERT/CC Warns of Code Execution Flaws in Lite XL Text Editor...

ได้ทำการแชร์ลิงก์

2025-11-13 03:43:06 -

Lite XL พบช่องโหว่รันโค้ดจากไฟล์โปรเจ็กต์และคำสั่งเชลล์

CERT/CC เตือนช่องโหว่สองรายการใน Lite XL (2.1.8 และก่อนหน้า) ที่เปิดทางให้รันโค้ดโดยไม่ได้ตั้งใจ ช่องแรกมาจากการรันไฟล์ .lite_project.lua อัตโนมัติเมื่อเปิดโฟลเดอร์โปรเจ็กต์ ถ้า repository ถูกฝังสคริปต์ไม่ดี นักพัฒนาที่เปิดโปรเจ็กต์นั้นก็จะเรียกโค้ดที่ผู้โจมตีเตรียมไว้ทันที ช่องสองเกี่ยวกับ system.exec ที่ประกอบสตริงคำสั่งเชลล์โดยไม่กรองอินพุต ทำให้สามารถฉีดคำสั่งเพิ่มได้

ความเสี่ยงนี้เข้าทางซัพพลายเชนซอฟต์แวร์โดยตรง—เฉพาะอย่างยิ่งเมื่อดึงโค้ดจากที่สาธารณะหรือทำงานร่วมกับบุคคลภายนอก ไฟล์ที่ “เหมือนเป็นการตั้งค่าโปรเจ็กต์” กลายเป็นจุดรัน payload ได้ง่าย และฟังก์ชันเรียกเชลล์ที่พึ่งพาสตริงก็กลายเป็นทางลัดเข้าสู่ระบบด้วยสิทธิ์ของโปรเซสตัวแก้ไข การโจมตีที่ชอบใช้วิธีนี้มักแนบเนียน: แค่เปิดโฟลเดอร์, เรียกปลั๊กอิน, หรือทริกเกอร์เมนู ก็เพียงพอแล้ว

ทางออกคืออัปเดตเวอร์ชันที่แก้ไข (รวมถึงแพตช์ที่ปิดพฤติกรรมรันอัตโนมัติหรือเพิ่มการขออนุญาต), ตรวจไฟล์โปรเจ็กต์ที่รันโค้ด, ปรับปลั๊กอินให้ใช้ API ที่ปลอดภัยแทนการประกอบคำสั่งเชลล์, และใช้โหมด sandbox/least privilege ขณะเปิด repository ที่มาจากภายนอก เพิ่มขั้นตอน pre-commit hook และสแกนสคริปต์ใน repo ที่แชร์ เพื่อจับพฤติกรรมผิดปกติก่อนถึงมือทีมพัฒนา

ช่องโหว่หลัก:
.lite_project.lua รันอัตโนมัติ และ system.exec ประกอบคำสั่งโดยไม่กรอง

ผลกระทบ:
Arbitrary Code Execution ด้วยสิทธิ์โปรเซสของตัวแก้ไข, โจมตีซัพพลายเชน

แนวทางแก้ไข:
อัปเดตแพตช์, ปิดรันอัตโนมัติ/ขออนุญาต, ใช้ API ปลอดภัยแทนเชลล์

คำเตือน:
การเปิด repo จากภายนอกโดยไม่มี sandbox/ตรวจไฟล์โปรเจ็กต์ เสี่ยงโดนฉีดโค้ดทันที

https://securityonline.info/cert-cc-warns-of-code-execution-flaws-in-lite-xl-text-editor-cve-2025-12120-cve-2025-12121/

📄 Lite XL พบช่องโหว่รันโค้ดจากไฟล์โปรเจ็กต์และคำสั่งเชลล์ CERT/CC เตือนช่องโหว่สองรายการใน Lite XL (2.1.8 และก่อนหน้า) ที่เปิดทางให้รันโค้ดโดยไม่ได้ตั้งใจ ช่องแรกมาจากการรันไฟล์ .lite_project.lua อัตโนมัติเมื่อเปิดโฟลเดอร์โปรเจ็กต์ ถ้า repository ถูกฝังสคริปต์ไม่ดี นักพัฒนาที่เปิดโปรเจ็กต์นั้นก็จะเรียกโค้ดที่ผู้โจมตีเตรียมไว้ทันที ช่องสองเกี่ยวกับ system.exec ที่ประกอบสตริงคำสั่งเชลล์โดยไม่กรองอินพุต ทำให้สามารถฉีดคำสั่งเพิ่มได้ ความเสี่ยงนี้เข้าทางซัพพลายเชนซอฟต์แวร์โดยตรง—เฉพาะอย่างยิ่งเมื่อดึงโค้ดจากที่สาธารณะหรือทำงานร่วมกับบุคคลภายนอก ไฟล์ที่ “เหมือนเป็นการตั้งค่าโปรเจ็กต์” กลายเป็นจุดรัน payload ได้ง่าย และฟังก์ชันเรียกเชลล์ที่พึ่งพาสตริงก็กลายเป็นทางลัดเข้าสู่ระบบด้วยสิทธิ์ของโปรเซสตัวแก้ไข การโจมตีที่ชอบใช้วิธีนี้มักแนบเนียน: แค่เปิดโฟลเดอร์, เรียกปลั๊กอิน, หรือทริกเกอร์เมนู ก็เพียงพอแล้ว ทางออกคืออัปเดตเวอร์ชันที่แก้ไข (รวมถึงแพตช์ที่ปิดพฤติกรรมรันอัตโนมัติหรือเพิ่มการขออนุญาต), ตรวจไฟล์โปรเจ็กต์ที่รันโค้ด, ปรับปลั๊กอินให้ใช้ API ที่ปลอดภัยแทนการประกอบคำสั่งเชลล์, และใช้โหมด sandbox/least privilege ขณะเปิด repository ที่มาจากภายนอก เพิ่มขั้นตอน pre-commit hook และสแกนสคริปต์ใน repo ที่แชร์ เพื่อจับพฤติกรรมผิดปกติก่อนถึงมือทีมพัฒนา ✅ ช่องโหว่หลัก: ➡️ .lite_project.lua รันอัตโนมัติ และ system.exec ประกอบคำสั่งโดยไม่กรอง ✅ ผลกระทบ: ➡️ Arbitrary Code Execution ด้วยสิทธิ์โปรเซสของตัวแก้ไข, โจมตีซัพพลายเชน ✅ แนวทางแก้ไข: ➡️ อัปเดตแพตช์, ปิดรันอัตโนมัติ/ขออนุญาต, ใช้ API ปลอดภัยแทนเชลล์ ‼️ คำเตือน: ⛔ การเปิด repo จากภายนอกโดยไม่มี sandbox/ตรวจไฟล์โปรเจ็กต์ เสี่ยงโดนฉีดโค้ดทันที https://securityonline.info/cert-cc-warns-of-code-execution-flaws-in-lite-xl-text-editor-cve-2025-12120-cve-2025-12121/

SECURITYONLINE.INFO

CERT/CC Warns of Code Execution Flaws in Lite XL Text Editor (CVE-2025-12120, CVE-2025-12121)

A Critical flaw in Lite XL (CVE-2025-12120) allows RCE when opening a project: the editor automatically executes malicious .lite_project.lua files, risking developer compromise.

0 ความคิดเห็น 0 การแบ่งปัน 10 มุมมอง 0 รีวิว